En konstig sak rapporterades till mig nyligen på flera sajter med WordPress.

Problemdata php.php_.php7_.gif

Det mystiska utseendet på en .gif-bilder med en “X” svart på en rosa bakgrund. I samtliga fall hade filen namnet “php.php_.php7_.gif“, med samma egenskaper överallt. Det intressanta är att den här filen inte laddades upp av en specifik användare/författare. “Uppladdad av: (ingen författare)“.

Filnamn: php.php_.php7_.gif
Filtyp: bild/gif
Uppladdat på: 11 juli 2019
Fil-storlek:
Mått: 300 gånger 300 pixlar
Titel: php.php_.php7_
Uppladdad av: (ingen författare)

Som standard är denna .GIF-fil som ser ut som en innehåller ett skript, laddas upp till servern i den aktuella uppladdningsmappen från tidslinjen. I de givna fallen: /root/wp-content/uploads/2019/07/.
En annan intressant sak är att basfilen, php.php_.php7_.gif, som laddades upp till servern, inte kan öppnas av en fotoredigerare. Förhandsgranska, Photoshop eller något annat. I stället, miniatyrbild(Ikonerna) som skapas automatiskt av WordPress i flera dimensioner, är perfekt funktionella .gifs och kan öppnas. A “X” svart på en rosa bakgrund.

Vad är det “php.php_.php7_.gif” och hur kan vi bli av med dessa misstänkta filer

Det är troligt att dessa filer tas bort skadlig programvara / virus, det är ingen lösning om vi begränsar oss bara till det. Definitivt är php.php_.php7_.gif inte en legitim WordPress-fil eller skapad av ett plugin.
På en webbserver kan den lätt identifieras, om vi har enLinux Malware upptäcker  installerat. Antivirus-/anti-malware-processen för “backar” upptäckte det omedelbart som ett virus av typen: “{YARA}php_in_image“

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Det rekommenderas starkt att ha en antivirus på webbservern och den måste uppdateras. Dessutom bör antivirusprogrammet ställas in för att permanent övervaka ändringarna som görs i webbfilerna.
WordPress version och allt modulerna (plugins) bör också uppdateras. Vad jag har sett är alla WordPress-sajter infekterade med php.php_.php7_.gif de har plugin som ett gemensamt element “WP recension“. Plugin som nyligen fick en uppdatering, i vars ändringslogg vi hittar: Fixat sårbarhetsproblem.

För en av webbplatserna som påverkas av denna skadliga programvara, hittades följande rad i error.log:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

Det får mig att tro att den falska bilden laddades upp via detta plugin. Felet som ursprungligen uppstod från ett PORT fastcgi-fel.
Ett viktigt omnämnande är att detta virus / WordPress malware inte riktigt tar hänsyn till PHP-versionen på servern. Jag hittade båda påPHP 5.6.40 såväl somPHP 7.1.30.

Artikeln kommer att uppdateras när vi lär oss mer om skadlig programvara php.php_.php7_.gif som finns i Media →Bibliotek.